Подготовка документов в соответствии с CCPA
California Consumer Privacy Act вступил в силу 1 января 2020 года и установил новые правила обработки персональных данных в штате Калифорния. Новые правила заработали с 1 июля 2020 года.
Подготовка документов CCPA
1 января 2020 года вступил в силу новый регулятор обработки персональных данных физических лиц – аналог GDPR для Калифорнии. Теперь для соответствия некоторым требованиям CCPA компаниям необходимо внедрять новые методы обработки персональных данных.
CCPA официально вступил в силу 1 января 2020 года. Этот акт регулирует процесс обработки персональных данных физических лиц – потребителей товаров и услуг в Калифорнии. Предполагается, с его вступлением в силу под защиту попали персональные данные, используемые для рекламных целей, общая стоимость которых превышает 12 млрд долларов.
В чем суть?
Под действие ССРА попадают коммерческие организации, которые собирают персональные данные потребителей в Калифорнии и соответствуют одному из следующих критериев:

– обрабатывают персональные данные резидентов Калифорнии и при этом получают свыше 25 млн. долларов США годового дохода;

– хранят данные более 50 тысяч потребителей;

– получают более половины своей прибыли вне зависимости от ее размера от продажи персональных данных.

Местонахождение самой компании, как и в случае с GDPR, не влияет на применимость данного акта: CCPA распространяется как на компании, расположенные в Калифорнии, так и на любым другим компаниям, зарегистрированных в других штатах США или за их пределами.
Для кого это важно
В первую очередь, необходимо провести анализ деятельности компании и существующих методов обработки персональных данных, то есть понять что и как компания собирает и как обрабатывает. По результатам анализа, привести в соответствие с требованиями CCPA внутренние процессы по получению, обработке, передаче и хранению персональных данных, а также внедрить необходимые меры безопасности. Необходимо также проанализировать передаются ли данные третьим лицам и распространяется ли на них исключение из положения CCPA об отказе от передачи данных. Также необходимо создать или обновить имеющиеся политики конфиденциальности и иные документы, предоставляемые клиентам. При этом возможность часть мер уже была предпринята компанией в рамках подготовки к соответствию GDPR. Так, и CCPA и GDPR обеспечить безопасность данных доступными техническими средствами и требуют своевременно отвечать на запросы на предоставление данных и удаление данных. Однако по требованиям CCPA компании дополнительно должны предоставить ссылку «Не продавать мою информацию» для запросов на отказ от обработки данных.
На что обратить внимание
Если компания допустит умышленное нарушение, то она обязана будет заплатить штраф в размере до 7,500 долларов США за каждое нарушение. Если нарушение будет признано неумышленным, штраф за каждое нарушение не будет превышать 2,500 долларов США. Физические лица, пострадавшие от нарушений CCPA, смогут обращаться к компаниям с исками о взыскании компенсации в размере от 100 долларов США до 750 долларов США или же требовать взыскания убытков в большем размере.
Основные риски
Оценка риска
Что такое CCPA?
1 января 2020 года вступит в силу новый регулятор обработки персональных данных физических лиц – аналог GDPR для Калифорнии. При этом для соответствия некоторым требованиям CCPA компаниям необходимо внедрять новые методы обработки персональных данных уже сейчас.
Кого затронет CCPA?
Под действие ССРА попадают коммерческие организации, которые собирают персональные данные потребителей в Калифорнии и соответствуют одному из следующих критериев:

  • обрабатывают персональные данные резидентов Калифорнии и при этом получают от 25 млн. долларов США годового дохода;
  • хранят данные более 50 тыс. человек;
  • получают более половины своей прибыли вне зависимости от ее размера от продажи персональных данных.

Местонахождение компании, как и в случае с GDPR, не влияет на применимость данного акта: CCPAбудет применяться как к компаниям, расположенным в Калифорнии, так и к любым другим компаниям, дислоцированным в других штатах США или за их пределами.
Что считается персональными данными?
Под персональными данными понимаются любые идентификаторы, по которым можно определить человека, в том числе любая информация, которая ассоциируется с ним. Это могут быть имя, IPадрес, адрес электронной почты, биометрические данные, геолокация, информация о работе и образовании, информация о семье, информация о здоровье, генетические данные, описание физических данных и иная аналогичная информация.
Что делать?
В первую очередь, необходимо провести анализ деятельности компании и существующих методов обработки персональных данных. По результатам анализа, привести в соответствие с требованиями CCPA внутренние процессы по получению, обработке, передаче и хранению персональных данных, а также внедрить необходимые меры безопасности. Также необходимо создать или обновить имеющиеся политики конфиденциальности и иные документы, предоставляемые клиентам.
Какие будут санкции за несоблюдение новых требований?
Если компания допустит умышленное нарушение, то она обязана будет заплатить штраф в размере до 7,500 долларов США за каждое нарушение. Если нарушение будет признано неумышленным, штраф за каждое нарушение не будет превышать 2,500 долларов США.

Физические лица, пострадавшие от нарушений CCPA, смогут обращаться к компаниям с исками о взыскании компенсации в размере от 100 долларов США до 750 долларов США или же требовать взыскания убытков в большем размере.
Что такое CCPA?
1 января 2020 года вступит в силу новый регулятор обработки персональных данных физических лиц – аналог GDPR для Калифорнии. При этом для соответствия некоторым требованиям CCPA компаниям необходимо внедрять новые методы обработки персональных данных уже сейчас.
Кого затронет CCPA?
Под действие ССРА попадают коммерческие организации, которые собирают персональные данные потребителей в Калифорнии и соответствуют одному из следующих критериев:

  • обрабатывают персональные данные резидентов Калифорнии и при этом получают от 25 млн. долларов США годового дохода;
  • хранят данные более 50 тыс. человек;
  • получают более половины своей прибыли вне зависимости от ее размера от продажи персональных данных.

Местонахождение компании, как и в случае с GDPR, не влияет на применимость данного акта: CCPAбудет применяться как к компаниям, расположенным в Калифорнии, так и к любым другим компаниям, дислоцированным в других штатах США или за их пределами.
Что считается персональными данными?
Под персональными данными понимаются любые идентификаторы, по которым можно определить человека, в том числе любая информация, которая ассоциируется с ним. Это могут быть имя, IPадрес, адрес электронной почты, биометрические данные, геолокация, информация о работе и образовании, информация о семье, информация о здоровье, генетические данные, описание физических данных и иная аналогичная информация.
Что делать?
В первую очередь, необходимо провести анализ деятельности компании и существующих методов обработки персональных данных. По результатам анализа, привести в соответствие с требованиями CCPA внутренние процессы по получению, обработке, передаче и хранению персональных данных, а также внедрить необходимые меры безопасности. Также необходимо создать или обновить имеющиеся политики конфиденциальности и иные документы, предоставляемые клиентам.
Какие будут санкции за несоблюдение новых требований?
Если компания допустит умышленное нарушение, то она обязана будет заплатить штраф в размере до 7,500 долларов США за каждое нарушение. Если нарушение будет признано неумышленным, штраф за каждое нарушение не будет превышать 2,500 долларов США.

Физические лица, пострадавшие от нарушений CCPA, смогут обращаться к компаниям с исками о взыскании компенсации в размере от 100 долларов США до 750 долларов США или же требовать взыскания убытков в большем размере.